Yli 70-vuotias pankkiasiakas menetti kesällä 2023 lähes 38 000 euroa pankkihuijauksessa, jossa rikolliset kaappasivat sekä hänen verkkopankkinsa että puhelinliittymänsä. Vakuutus- ja rahoitusneuvonta FINE katsoi tuoreessa ratkaisussaan, että asiakas oli toiminut törkeän huolimattomasti – ja koko tappio jäi uhrin maksettavaksi. Tapauksen avaaminen nosti kuitenkin esiin myös vähemmän tunnetun Android-asetuksen, joka voi automaattisesti välittää tekstiviestillä tulevia vahvistuskoodeja sovelluksille ja verkkosivuille.
Tapaus alkoi tekstiviestistä, joka näytti tulevan pankilta ja väitti verkkopankin ja pankkikortin jäädytetyiksi epätavallisen toiminnan vuoksi. Viestissä ollut linkki johti pankkia muistuttaville valesivuille, joille asiakas syötti pankkitunnuksensa. Tämän jälkeen rikolliset aktivoivat uuteen laitteeseen pankin mobiilisovelluksen ja tunnistusvälineen, tekivät tilisiirtoja, nostivat 15 000 euron täsmäluoton ja siirsivät kortilta yhteensä 36 500 euroa ulkomaiselle Revolut-tilille. Samassa yhteydessä uhrin puhelinnumero kaapattiin hakemalla operaattorilta eSIM, jolloin pankin varoitus- ja vahvistusviestit alkoivat mennä suoraan rikollisille.
Keskeinen yksityiskohta ratkaisussa oli pankin lähettämä englanninkielinen tekstiviesti, jossa kerrottiin uuden tunnistussovelluksen käyttöönotosta ja annettiin kertakäyttöinen koodi. FINEn pankkilautakunnan mukaan koodi on täytynyt päätyä rikollisten tietoon uhrin omien toimien kautta – joko syöttämällä se suoraan valesivulle tai hyväksymällä sen automaattisen siirron. Asiakkaan mukaan hänen Android-puhelimessaan on ollut päällä Googlen ”tekstiviestivahvistuskoodit”-toiminto, joka voi lisätä SMS:llä tulleen koodin automaattisesti selaimen kenttään. Ominaisuudesta hän ei ollut tietoinen ennen tapausta.
FINEn raportista ensimmäiseksi kertonut tietotekniikka-asiantuntija Petteri Järvinen nosti blogissaan esiin juuri tämän Android-asetuksen, jonka moni käyttäjä ei tiedä olevan olemassa. Asetus löytyy Googlen palveluista ja mahdollistaa sen, että sovellukset ja selaimet voivat automaattisesti lukea ja täyttää tekstiviestillä saapuvia vahvistuskoodeja. Tällöin yksi vahinkokosketus näytöllä voi käytännössä välittää pankin lähettämän turvakoodin huijaussivulle – varsinkin, jos käyttäjä luulee koko ajan asioivansa aidon pankin kanssa.
FINEn ratkaisussa arvioitiin laajasti myös kielen merkitystä. Pankin omien ehtojen mukaan asiointikieli on suomi tai ruotsi, mutta rikolliset olivat vaihtaneet verkkopankin kielen englanniksi, jolloin myös pankin lähettämät vahvistusviestit tulivat englanniksi. Lautakunta totesi, että pankeilla on velvollisuus viestiä ymmärrettävästi, mutta linjasi samalla, että jos asiakas ei kielimuurin vuoksi ymmärrä viestiä, hänen olisi juuri tästä syystä pitänyt keskeyttää asiointi ja olla yhteydessä pankkiin. Järvinen pitää tulkintaa kovana: käytännössä vastuu siirtyy asiakkaalle, vaikka viesti tulee asiakkaan normaalista asiointikielestä poikkeavalla kielellä.
Tapauksen perusteella FINE katsoi, että asiakkaan toiminta – tunnusten syöttäminen valesivulle, korttitietojen antaminen ja pankin vahvistuskoodin välittyminen rikollisille ilman viestin sisällön lukemista tai ymmärtämistä – poikkeaa olennaisesti siitä, mitä huolelliselta maksuvälineen haltijalta edellytetään. Siksi menettely täytti maksupalvelulaissa tarkoitetun törkeän huolimattomuuden kriteerit, eikä pankkia suosittu korvaamaan tappioita, lukuun ottamatta yhtä pientä tilisiirtoa ja luoton korkoja.
Samalla tapaus nostaa esiin laajemman kysymyksen pankkien teknisestä ja tiedollisesta ylivoimasta. Pankit näkevät tarkasti, mitä järjestelmissä tapahtuu, mutta uhrit eivät useinkaan saa täyttä kuvaa tapahtumista, ja vastuun arviointi jää pitkälti pankkien ja FINEn tulkintojen varaan. Järvisen viesti on, että pankkien pitäisi sekä tehdä väärinkäytösten estosta näkyvästi tiukempaa – esimerkiksi rajoittamalla uusien laitteiden kykyä heti tyhjentää tilejä ja nostaa luottoja – että kertoa avoimemmin, miten huijaukset käytännössä etenevät. Käyttäjälle konkreettinen johtopäätös on selvä: pankkien viesteistä huolimatta tekstiviestilinkkeihin ei pidä luottaa, vahvistusviestit on syytä lukea tarkkaan, ja Android-puhelimesta kannattaa harkita SMS-koodien automaattisen täytön kytkemistä pois päältä.
FINEn raportista kertoi ensimmäiseksi tietoturva-asiantuntija Petteri Järvinen blogissaan.
Teollisuuden ja kenttälaitteiden tallennus ei ole enää pelkkää muistia, vaan osa järjestelmän kyberturvaa. Silicon Motionin DefendMax tekee SSD:stä aktiivisen suojakerroksen, joka estää datan korruptoitumisen, torjuu hyökkäyksiä ja pitää järjestelmän käynnissä myös pahimmissa häiriötilanteissa.
